背景前陈

5月12日，有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒，短短几个小时，该勒索病毒迅速扩散至全球超过99个国家和地区，从俄罗斯内政部，到中国大学生的个人电脑系统等均纷纷沦陷。

一旦WannaCry勒索病毒锁定你的电脑，立马会植入恶意软件。对于那些没有打补丁的Windows电脑，只要联网且开启了445端口SMB文件共享服务，则无需任何操作即可被感染此勒索病毒。感染后用户电脑里的所有数据都会被加密，然后屏幕会弹出消息框要求受害人在3天内支付价值300美元的比特币赎金。

而要扒横空出世的WannaCry勒索病毒，则要从其源头软件“永恒之蓝”（EternalBlue）说起。

“永恒之蓝”漏洞和WannaCry勒索病毒的完整解析

“永恒之蓝”（EternalBlue）是美国国家安全局NSA旗下的黑客组织Equation Group开发的网络攻击工具。它扫描并利用运行在TCP 445端口之上的Windows SMB (Server Message Block)文件共享协议的漏洞, 上传勒索软件等恶意软件到Windows系统，对用户的文件进行加密并勒索赎金。

2017年4月，Shadow Broker黑客组织入侵了Equation Group的网络，窃取了大量网络攻击工具，并把它放到互联网上拍卖。为证明其拍卖的黑客工具的真实性和有效性，Shadow Broker黑客组织在网上公布了他们窃取来的一部分黑客工具，包括“永恒之蓝”恶意软件的密码，该软件即是WannaCry勒索病毒的源头软件。

WannaCry勒索病毒是黑客在“永恒之蓝”的基础上开发的蠕虫病毒，它可以自我复制传播。该蠕虫病毒先扫描网络上存在SMB漏洞的Windows机器，然后上传勒索软件到该Windows系统，锁定用户的数据并进行勒索，是一个典型的蠕虫和勒索软件的结合体。

最新SonicWall下一代防火墙已能够有效应对WannaCry勒索病毒

SonicWall安全防御团队早在今年4月份Shadow Broker黑客组织发布“永恒之蓝”的第一时间就对其进行了快速分析和诊断，并于4月20日更新了多个IPS签名，能够有效阻断黑客利用“永恒之蓝”工具以及基于该工具开发的蠕虫病毒针对 Windows SMB漏洞进行的入侵行为。

因此，对于SonicWall下一代防火墙IPS（入侵防御）服务在有效期内的用户则无需担心，SonicWall下一代防火墙在4月20日起即已能够防御“永恒之蓝”攻击工具及其同类软件的入侵行为，保护用户的网络免受WannaCry勒索病毒侵扰。

黑客能够利用“永恒之蓝”工具和Windows SMB漏洞上传任何恶意软件，且勒索软件可通过电子邮件传播，对此，SonicWall已发布数个勒索软件病毒签名，阻断通过电子邮件或利用SMB漏洞上传的勒索软件。

因此，对于SonicWall下一代防火墙GAV网关杀毒服务在有效期内的用户亦可放心，该服务能够有效地防御WannaCry勒索病毒及多个变种。网关杀毒防御勒索软件是对IPS入侵检测防御“永恒之蓝”入侵的一个补充，可以阻止经电子邮件途径传播的勒索病毒。

此外，SonicWall Capture服务(云端沙盒)能够检测未知安全威胁, 是IPS入侵防御和GAV网关杀毒服务的有效补充。对IPS和GAV网关杀毒不能确认的文件，例如快速出现的任意新的勒索软件变种，SonicWall Capture的多引擎可做并行检测，使恶意软件难以逃避检测。SonicWall Capture能够对WannaCry的新变种及其它勒索软件做准确的判断，并阻断其传播。

用户该购买哪些服务以效防御此类安全威胁？

· 没有购买SonicWall下一代防火墙的用户在购买SonicWall下一代防火墙时，请同时购买AGSS服务，即高级网关安全服务包，包含Capture多引擎沙盒、入侵检测、网关杀毒、内容过滤及厂商7*24技术支持服务；或购买CGSS服务，包含全部AGSS安全服务功能，但没有Capture多引擎沙盒服务；也可购买UTM杀毒和入侵防御服务，但是缺少Capture多引擎沙盒对未知安全威胁的检测及厂商的7*24技术支持服务。

AGSS  License。包含Capture沙盒服务和UTM的应用层安全防御功能，每个设备型号有对应的SKU，下面SKU是以NSA3600为例。AGSS包含最全的安全服务，可以应对已知和未知安全威胁。

CGSS  License。相比AGSS，缺少Capture沙盒服务，其它服务相同。不能应对未知安全威胁。

UTM License。相比CGSS，缺少内容过滤，7*24 支持服务，包含IPS，恶意软件扫描和应用控制。

· 使用SonicWall第五代及更早硬件平台的用户，可以购买CGSS或UTM服务，但是缺少Capture多引擎沙盒对未知安全威胁的防护。建议用户升级到SonicWall第六代硬件平台以支持最新的Capture沙盒功能。

如何预防此类威胁发生？

除了在互联网出口使用下一代防火墙，企业可采取下列措施以预防此类威胁的发生：

1. 升级Windows操作系统，目前微软公司已发布相关补丁程序MS17-010，可通过微软公司正规渠道进行升级。

2. 电脑上安装有效的杀毒软件，避免U盘、内网文件共享、VLAN内部的蠕虫勒索软件的传播。

3. 及时关闭计算机、网络设备上的445端口。

4. 不要轻易打开来源不明的电子邮件。

5. 不要使用Windows XP、Windows Server 2003等没有微软服务和支持的产品，因为其不具备定期的安全补丁的更新。

6. 定期在不同的存储介质上备份计算机上的重要文件。